Google macht eine Zero-Day-Lücke in Windows publik

2. November 2020 um 13:41
  • google
  • cyberangriff
  • microsoft
  • security
image

Die Windows-Lücke wird in Kombination mit einer gepatchten Chrome-Lücke aktiv ausgenützt. Ein Update von Microsoft gibt es noch nicht.

Das Google-Security-Team Project Zero hat Details zu einer bisher nicht bekannt gegebenen Sicherheitslücke in Windows veröffentlicht. Demnach wird die Schwachstelle aktiv ausgenutzt. Deshalb habe Google Microsoft nur eine Woche Zeit gegeben, um die Schwachstelle zu beheben. Diese Frist sei verstrichen, weshalb Google am 30. Oktober die Details zur Lücke CVE-2020-17087 publiziert habe.
Von der Lücke betroffen sind laut Project Zero mindestens die Betriebssystem-Versionen Windows 7 bis 10.
Laut Googles Project Zero steckt die Schwachstelle im Windows-Kernel und erlaubt eine nicht autorisierte Ausweitung von Benutzerrechten.
Bisher liegt kein Patch für die Lücke vor. Laut Ben Hawkes, Teamleiter von Project Zero, wird Microsoft das Loch jedoch mit dem November-Update, das nächste Woche bereitgestellt werden soll, schliessen. Microsoft hat dieses Datum gegenüber 'Techcrunch' allerdings nicht bestätigt. "Microsoft hat sich gegenüber Kunden verpflichtet, gemeldete Sicherheitsprobleme zu untersuchen und betroffene Geräte zu aktualisieren", so das Unternehmen in einem Statement. Bei der Entwicklung eines Security-Updates brauche es ein Gleichgewicht zwischen Pünktlichkeit und Qualität, so Microsoft, und Ziel sei es, "einen maximalen Kundenschutz bei minimaler Beeinträchtigung der Kunden zu gewährleisten."
Die Windows-Lücke werde gemeinsam mit einer weiteren Zero-Day-Lücke ausgenutzt, so das Google-Team weiter. Dabei handle es sich um eine gepatchte Schwachstelle im Chrome-Browser (CVE-2020-15999). Diese habe es Angreifern ermöglicht, Schadcode aus der Ferne einzuschleusen und innerhalb des Browsers auszuführen. Verknüpft mit dem ungepatchten Windows-Loch sei es möglich, die Sandbox von Chrome zu verlassen und den Schadcode in das zugrundeliegende Betriebssystem einzuschleusen.

Loading

Mehr zum Thema

image

Vogt am Freitag: Die halbe Wahrheit

Auf den ersten Blick lässt die 'NZZ' in einem Artikel zum erlebten Cyberangriff die Hosen runter. Bei genauem Hinsehen fehlen aber wichtige Informationen.

publiziert am 23.2.2024 1
image

3 Millionen für externe Security-Spezialisten im Kanton Zug

Die Innerschweizer brauchen Unterstützung im Aufbau und Betrieb eines Security Operation Centers.

publiziert am 23.2.2024
image

Die Schlinge um Lockbit zieht sich zu

Eine internationale Polizeiaktion hat die Ransomware-Bande empfindlich getroffen. Dennoch lässt sich ein Comeback der Cyberkriminellen nicht ganz ausschliessen.

publiziert am 22.2.2024
image

Haufenweise Kundendaten von Schweizer Personalvermittler gestohlen

Die Firma Das Team ist eines der jüngsten Opfer der Ransomware-Bande Black Basta. Sie publizierte eine Vielzahl heikler Daten im Darkweb.

publiziert am 22.2.2024 14